Presentación de Paloma Llaneza, Abogado, CISA, Socio Director de Razona Legaltech y Presidenta de AEDEL (Asociación Española de Evidencias Electrónicas) “Evidencias Electrónicas” en la XIII Jornada de Seguridad TI de Nextel S.A. 2011
3. Misión‐Visión
• AEDEL nace con la finalidad de impulsar la seguridad y
AEDEL nace con la finalidad de impulsar la seguridad y
la confianza en la fiabilidad de las evidencias y pruebas
electrónicas. Y ello mediante el impulso del
conocimiento y desarrollo de las buenas prácticas y
conocimiento y desarrollo de las buenas prácticas y
normas de voluntario cumplimiento, así como de la
regulación de naturaleza legal que permita que la
información en formato electrónico equipare su valor
i f ió f t l tó i i l
probatorio a la información existente en otros soportes.
• Todas estas acciones se dirigen a posibilitar que la
sociedad en su conjunto (ciudadanos, consumidores,
padres, jóvenes, entidades públicas o privadas, sin
distinción de su tamaño o sector) pueda disfrutar de un
distinción de su tamaño o sector) pueda disfrutar de un
marco de seguridad y confianza en los entornos
digitales incluido Internet.
3
4. Misión‐Visión
• Nuestra visión es ser la asociación líder en la
Nuestra visión es ser la asociación líder en la
promoción de iniciativas de estudio de evidencias y
pruebas electrónicas, en la promoción normativa y
regulatoria en este campo, en la difusión y
l l df ó
capacitación del conocimiento, destacando como
punto de encuentro de profesionales, sociedad,
punto de encuentro de profesionales, sociedad,
empresas y administración Pública, canalizando
cuanta iniciativa se enmarca en dotar de mayor
confianza y robustez a las evidencias electrónicas y
fi b t l id i l tó i
seguridad a las transacciones y operaciones que se
desarrollan en el mundo telemático.
4
5. Algunas iniciativas
g
Herramientas
AEDEL ha desarrollado y ofrece la herramienta
Ad|Quiere, una distribución forense online
producto de la colaboración con la empresa
Blueliv, gratuita y colaborativa.
Ad|Quiere es de las pocas distribuciones que
Ad|Q i d l di t ib i
incorpora de serie Linen, un software de
adquisición facilitado por Guidance Software para
realizar adquisiciones seguras en formato ENCASE.
5
6. Algunas iniciativas
g
Observatorio de las evidencias electrónicas:
Observatorio de las evidencias electrónicas:
Evidencia 4D
AEDEL ha creado esta útil herramienta para la
observación del estado, situación y evolución del
entorno de las evidencias electrónicas en España:
su adopción por empresas, el conocimiento del
su adopción por empresas el conocimiento del
ciudadano, su presencia judicial, reglamentación,
normalización, comparativas con otros países y un
largo etc. El observatorio elabora como productos
finales: indicadores, estudios e informes.
6
7. Algunas iniciativas
g
Normalización
A través de sus miembros,
representados en diversos foros, AEDEL
t d di f AEDEL
está participando intensamente en los
trabajos de normalización de los
t b j d li ió d l
sistemas de gestión de evidencias así
como en la metodología de análisis
l t d l í d áli i
forense.
7
9. Introducción y contexto
y
• Las tecnologías de información y la evolución de los
sistemas de comunicación han transformado
sustancialmente los procesos de generación,
t i l t l d ió
intercambio, almacenamiento y transmisión de la
información.
• Los delitos tradicionales han aprovechado estos nuevos
canales, dando lugar a nuevos métodos de delinquir, e
incluso a nuevos delitos:
incluso a nuevos delitos:
– Fraude, robo, pornografía infantil, phising, pharming,
denegación de servicio,..
9
10. Introducción y contexto.
y
• Pero, ADEMÁS, los procesos de negocio hacen
un uso intensivo de estas nuevas tecnologías,
un uso intensivo de estas nuevas tecnologías,
produciéndose un desplazamiento de lo
analógico a lo digital:
– La transparencia de gestión y la propia gestión,
necesitan sustentarse en las evidencias digitales.
– El cambio de formato de la documentación en
El cambio de formato de la documentación en
formato papel a la digital debe soportarse
legalmente.
10
11. Introducción y contexto: planos
y p
Actores
• Ciudadanos clientes empleados directivos
Ciudadanos, clientes, empleados, directivos
• Organismos, Empresas, Reguladores, Operadores,..
Tecnológico
• Ciclo de vida de las evidencias
• Perspectiva forense o no
• Herramientas
Entorno de exigencia
• Legal
• Regulatorio
• Normativo
• Contractual
11
12. Ejemplo
• Perspectiva:
• Interna (derivada del normal proceso productivo)
• Para ser explotadas desde la Inteligencia empresarial (ERPs,
Datawarehouse / Datamining, Business Intelligence, Balance Scorecard)
/ g, g , )
• Explotación TIC ( cuadros de mando de sus actividades, monitorización
de sus sistemas, capacidades , planificación, desviaciones, imputación)
• Vigilancia (RRHH seguridad auditoría)
Vigilancia (RRHH,seguridad, auditoría).
• Externa
• Exigencia legal /contractual
• Mi entidad ha sido agredida
• Mi entidad / personal ha sido denunciada como
agresora
g
• Tercera parte
12
13. Aproximación desde el mundo de la normalización
técnica
• Cualquier dato almacenado/generado/tratado por un SI.
Unidad atómica desde un log en texto plano a un
Información documento y sus metadatos
• Información con una capa de gestión segura: sistema de
Evidencia
d gestión de evidencias electrónicas (SGEE)
gestión de evidencias electrónicas (SGEE)
electrónica
• Adquisición segura con cumplimiento de garantías y
Prueba requerimientos legales: análisis forense
electrónica
13
14. Estándares
• AENOR
– PNE 71505 Sistema de Gestión de las evidencias
electrónicas (multiparte)
l ó i ( li )
• Parte 1 Terminología y Marco general
• Parte 2 Sistema de Gestión y controles
• Parte 3 Formatos
– PNE 71506 Metodología de análisis forense para las
evidencias digitales.
– UNE 197001 Criterios generales para la elaboración de
informes y dictámenes periciales.
14
17. Confiabilidad de la prueba, basada en la triple pareja
p p p j
Autenticidad e Integridad
• L autenticidad e i t id d d l i f
La t ti id d integridad de la información garantizan l
ió ti la
persistencia a lo largo del tiempo de las características
originales de la información respecto al contexto, la estructura
y el contenido
contenido.
• Por lo tanto se garantiza que no ha sufrido alteración o
modificación, así como la certeza de autor o firmante del
documento.
d t
• En el caso de provenir la información de una captura de otro
soporte o sistema se debe garantizar que se recoge
fidedignamente l i f
fid di t la información original.
ió i i l
17
18. Confiabilidad de la prueba, basada en la triple pareja
p p p j
Disponibilidad y completitud
• Proporcionan la garantía de acceso en su total dimensión y a
lo largo del tiempo, con el contexto total a la información.
lo largo del tiempo con el contexto total a la información
– Por ejemplo si solicitamos un contrato podremos solicitar y
obtener todos los anexos, versiones y anulaciones referidas a
este contrato, junto con sus metadatos. La información debe ser
j
por tanto accesible, inteligible, identificable, recuperable y
comprensible.
• Completitud, hace referencia a aspectos tales como la
consistencia de la historia en las pruebas que se aportan,
continuidad de las pruebas y rigurosidad seguida en los
procesos
18
19. Confiabilidad de la prueba, basada en la triple pareja
p , p p j
• Calidad y gestión
Calidad y gestión.
– La calidad viene dada por aspectos tales
como:
• Calidad del dato o información inicial.
– Por ejemplo en imágenes provenientes de
cámaras de video vigilancia, dependerá de la
cámaras de ideo igilancia dependerá de la
resolución de la cámara, el cuadro enfocado
(imagen parcial o total del encuadre, resolución
del encuadre, luz, lentes, mantenimiento del
del encuadre luz lentes mantenimiento del
dispositivo, medio de transmisión, grabación…
• Calidad del método, procedimientos y herramientas
la adquisición (auditable, repetible, reproducible,
la adquisición (auditable repetible reproducible
justificable)
19
20. Confiabilidad de la prueba, basada en la triple pareja
p p p j
• Calidad y gestión.
Calidad y gestión.
– La calidad viene dada por aspectos tales como:
• Calidad en el manejo de las fuentes de las potenciales
pruebas:
– Minimizar el manejo de la fuentes originales
– Documentación para la trazabilidad de las acciones (y
por lo tanto que un experto pueda formar una opinión
por lo tanto que un experto pueda formar una opinión
sobre la fiabilidad)
– No tomar acciones más allá de sus competencias y
capacitación.
p
• Calidad en la preservación y análisis.
• Calidad en la presentación (Consistencia de las pruebas,
transparencia y trazabilidad de las actuaciones, informe claro,
legibilidad de la prueba)
20
21. Confiabilidad de la prueba, basada en la triple pareja
Confiabilidad de la prueba basada en la triple pareja
Gestión
• Proporciona la garantía de que el producto
Proporciona la garantía de que el producto
obtenido es conforme a lo esperado pues se
ha gestionado y utilizado procedimientos que
g y p q
han sido previamente planificados, que
responden a unos requerimientos y objetivos,
que dichos procedimientos posteriormente se
d h d
han establecido, y son exhaustivos, repetitivos,
controlados, medibles y auditables.
controlados medibles y auditables
21
22. SGEE
• La organización establece el grado de exigencia con el
La organización establece el grado de exigencia con el
que va a tratar los procesos relacionados con las
evidencias (y por lo tanto la cercanía con el concepto de
prueba)
• En este sentido, la organización ha de garantizar que los
sistemas de información, sus políticas y procedimientos
son capaces de establecer:
– La identificación de los activos afectados en el
alcance
alcance
– La identificación de los requerimientos de cualquier
tipo: el análisis de riesgos.
22
23. SGEE
• En este sentido, la organización ha de garantizar que los
En este sentido, la organización ha de garantizar que los
sistemas de información, sus políticas y procedimientos
son capaces de establecer:
– L Los controles de seguridad en aras de garantizar :
t l d id d d ti
• La autenticidad e integridad de los registros
electrónicos;
• La fiabilidad de los programas que generan los
registros;
• El momento (fecha y tiempo) de la creación o
( y p )
modificación;
• La identidad del autor de la información electrónica;
• La cadena de custodia (preservación) y manejo de los
La cadena de custodia (preservación) y manejo de los
registros.
23
24. SGEE
• Los SG adoptan un enfoque basado en
procesos y controles
• SGEE basado en SGSI
• Controles de la 27002 junto con
Controles de la 27002 junto con
algunos específicos
• Roles y responsabilidades
Roles y responsabilidades
24
25. Ciclo PDCA
• Estableciendo el alcance • … el adiestramiento y la
• Recogiendo los requisitos • formación.
• Decidiendo los objetivos. • … el trabajo planificado.
• Estableciendo los método • Los controles
adecuados
• Estableciendo las
p
responsabilidades
Planificar Ejecutar
Mejorar Comprobar
• Tras la comprobación
(verificación,metricas,que • Si los
jas,..) se decide que hay resultados son
que re‐planificar
l ifi
• Comienza de nuevo el
conforme a lo
cilo esperado
25
26. Integrar los sistemas de gestión en el sistema
general bajo el principio PDCA
general, bajo el principio PDCA.
Planificar
El SGEE, es el
SGEE
proceso de gestión
de los procesos
relacionados con las
evidencias
electrónicas.
Ha
acer
Estrategia
de Gestión
ISO
ISO
9001
Verificar
26
28. Calidad en el manejo de las fuentes
Imagen archivada en custodia
Imagen forense por la empresa contratada para el trabajo forense
Etiquetada y verificada, garantizando que , o en su caso entregada al notario o testigo del
se encuentra libre de errores y la imagen
g p
proceso. En su momento p puede ser entregada en
g
es completamente operativa y funcional el proceso judicial como evidencia original y así
contratar su contenido con la evidencia analizada
por la empresa forense.
Copia byte a byte, de todo
el contenido en el soporte
digital, en presencia de Copia para
testigos o notario análisis forense
Original Imagen forense
Etiquetada y verificada, garantizando que se
encuentra libre de errores y la imagen es
La segunda imagen
completamente operativa y funcional forense se almacena
en archivo seguro
Imagen archivada en custodia
Por la empresa contratada como forense, el notario o testigo hasta
la resolución del caso y podrá ser recuperada para poder contrasta
p
su contenido con los resultados del análisis realizado , o bien para
la realización de análisis posteriores por parte de un perito judicial
y poder contrastar su análisis con el de la empresa forense 28
contratada
29. Análisis forense
Perspectiva no Perspectiva forense
forense
Custodia / trazabilidad Procesamiento
(Adquisición)
Preservación
Gestión de la
Presentación
información Identificación Revisión Producción
y ratificación
y ratificación
(Diseño)
( ñ )
Recolección
Análisis
Volumen Relevancia
29
30. Fases desde una perspectiva legal
Obtención Custodia Aportación Admisión Práctica Evaluación
•Auditable •Capacitación del
•Repetible personal •Pertinencia
•Reproducible •Transparencia Li it d
•Licitud
•Justificable •Trazabilidad •Necesidad
30